はじめに
社内だけからアクセスできるようにしたいときなどに有効です。
ポリシーがなんぞやという話は割愛します。
こんなかんじ。
おわり。
ポイントとしては
Deny(拒否)する …特定のIP以外は….ってことね。
{
"Id": "適当",
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": [
"arn:aws:s3:::バケット名",
"arn:aws:s3:::バケット名/*"
],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": "xxx.xx.xx.xxx"//IP
}
}
}
]
}
alow 特定のip…的なロジックじゃだめなの???
だめです!!
なぜならデフォルトでS3はすべてのipを許可するからです。
既に許可されているところに追加で許可するIPを、、というロジックの書き方しても、
それ以外を拒否する、とはならないデザイン(仕様)になっている模様です。
最近のコメント